Шхагапсоев З.Л. Обеспечение безопасности персональных данных в информационных системах
.pdfОглавление
Введение………………………………………………… 2
Нормативно-правовая база обеспечения безопасности персональных данных в системе МВД России……………... 4 Основные этапы работ по обеспечению безопасности персональных данных в ИСПДн…………………………….. 11
Сбор и анализ исходных данных по ИСПДн
иклассификация информационных систем персональных данных……………………………………………………........ 22
Формирование модели угроз персональных данных
имодели нарушителей……………………………………….. 28
Проектирование, реализация и ввод в эксплуатацию
системы защиты персональных данных…………………….. 34 Аттестация информационной системы персональных
данных по требованиям безопасности персональных данных……………………………………………………….… 53
Основные понятия, термины и определения, связанные с защитой персональных данных……………….. 55
Примерныеобразцыорганизационно-распорядительных, технических и технологических документов на ИСПДн подразделения МВД России…………………………………. 61
Заключение……………………………………………… 101 Литература………………………………………………. 102
Введение
Неотъемлемым условием информационного обеспечения деятельности подразделений, служб, организаций и учреждений Министерства внутренних дел Российской Федерации1 при реализации их функций является активное использование современных информационных технологий, программных и аппаратных средств, а также информационных систем на их основе. Значительное количество задач, в том числе принятие юридически значимых решений, подразумевает использование информационных систем, в которых осуществляются сбор, систематизация, уточнение, накопление, хранение и передача персональных данных2 различных категорий и объемов. Понимание важности и ценности информации о человеке, необходимость обеспечения соблюдения конституционных прав и законных интересов граждан Российской Федерации делает выполнение требований Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ3 подразделениями МВД России одним из приоритетных направлений деятельности при реализации Министерством внутренних дел Российской Федерации государственной правоохранительной функции.
Актуальность обеспечения безопасности персональных данных в информационных системах МВД России, несмотря на значительный период времени, прошедший с момента принятия и вступления в действие Федерального закона «О персональных данных», не снижается, а, напротив, приобретает большую остроту. Это обусловлено, прежде всего, многообразием типов используемых информационных систем для обработки персональных данных4 по их составу, структурному построению, категориям обрабатываемой информации, функциональному назначению. Ситуация осложняется тем, что большинство этих информационных систем введено в эксплуатацию до принятия Федерального закона «О персональных данных», и реализованные в них методы и способы защиты информации не отвечают требованиям без-
1 Далее – подразделения МВД России.
2 Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
3 Далее – Федеральный закон «О персональных данных». 4 Далее – ИСПДн.
2
опасности объектов информатизации, сформулированным в нормативных документах Федеральной службы безопасности Российской Федерации, Государственной технической комиссии при Президенте Российской Федерации, Федеральной службы по техническому и экспортному контролю Российской Федерации и в государственных стандартах в области защиты информации. Кроме этого, в настоящее время в рамках реализации Концепции информатизации5 Министерства внутренних дел Российской Федерации разрабатываются и внедряются новые информационные системы, введена и эксплуатируется единая информационно-телекоммуникационная сеть, позволяющая реализовать территориально распределенные информационные системы, в том числе предназначенные для обработки персональных данных различного уровня, архитектурного построения и функционального назначения.
Проведение работ по обеспечению безопасности персональных данных в информационных системах МВД России связано с необходимостью знания и понимания положений достаточно большого количества нормативных правовых актов, нормативных, руководящих и методических документов регуляторов6, государственных стандартов, разобраться в которых – непростая задача, требующая специальной подготовки в предметной области.
Таким образом, концептуально7 и методологически необходимо представлять себе, что обеспечение безопасности персональных данных в информационных системах МВД России – это не одномоментно решаемая задача, а непрерывный и наступательный процесс, требующий пристального внимания и активного участия со стороны руководителей подразделений МВД России, руководителей и должностных лиц, ответственных за эксплуатацию и эксплуатирующих ИСПДн, а также руководителей и специалистов подразделений по защите информации в подразделениях МВД России.
5 Об утверждении Концепции информатизации органов внутренних дел Российской Федерации и внутренних войск МВД России до 2012 года: приказ МВД России от 04.04.2009. № 280.
6 Регуляторами являются государственные органы, уполномоченные осуществлять контроль и надзор за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных». Регуляторами являются Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (Роскомнадзор), Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России).
7 Об утверждении Концепции обеспечения информационной безопасности органов внутренних дел Российской Федерации до 2020 года: приказ МВД России от 14.03.2012. № 169.
3
Нормативно-правовая база обеспечения безопасности персональных данных в системе МВД России
На сегодняшний день в Российской Федерации сформирована достаточно стройная многоуровневая система нормативноправовых, руководящих и методических документов, регламентирующих порядок осуществления организационных и технических мероприятий, направленных на обеспечение безопасности персональных данных. Условно эта система может быть представлена следующей схемой. Федеральные законы в области защиты информации, персональных данных формулируют высокоуровневые требования, порядок реализации которых конкретизирован в указах Президента Российской Федерации и постановлениях Правительства Российской Федерации, а также в норматив- но-методических документах регуляторов, в том числе и совместных. Эти документы формируют второй уровень и определяют последовательность выполнения организационных и технических мероприятий, основные этапы создания системы защиты персональных данных8, формулируют требования, предъявляемые к ней, а также описывают механизм аудита эффективности реализованной СЗПДн. Третий уровень включает в себя ведомственные нормативные, включая концептуальные, документы в области обеспечения безопасности персональных данных в системе МВД России и методические рекомендации МВД России по порядку подготовки нормативной и распорядительной документации, разграничению полномочий и мерам ответственности субъектов при решении организационных и технических вопросов при создании системы защиты персональных данных в ИСПДн МВД России.
Важным аспектом обработки и обеспечения безопасности персональных данных в информационных системах подразделений МВД России является мера ответственности сотрудников. Должностные лица подразделений МВД России, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уго-
8 Далее – СЗПДн.
4
ловную ответственность в соответствии с действующим законодательством Российской Федерации. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе сотрудникам, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке влекут наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания: замечания, выговора, увольнения.
Сотрудники, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении таких персональных данных, несут административную ответственность в соответствии со ст. 13.14. Кодекса Российской Федерации об административных правонарушениях. Сотрудники, имеющие доступ к персональным данным субъектов и совершившие указанное административное правонарушение, несут полную материальную ответственность в случае причинения его действиями ущерба в соответствии с п. 7 ст. 243 Трудового кодекса Российской Федерации.
Сотрудники, имеющие доступ к персональным данным субъектов, совершившие нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, несут уголовную ответственность в соответствии со ст. 274 Уголовного кодекса Российской Федерации.
Федеральные законы
Федеральный закон Российской Федерации от 27.06.2006. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 10.01.2002. № 1-ФЗ «Об электронной цифровой подписи». Федеральный закон Российской Федерации от 27.07.2006. № 152-ФЗ «О персональных данных».
Федеральный закон от 07.02.2011. № 3-ФЗ «О полиции».
Федеральный закон от 04.05.2011. № 99-ФЗ «О лицензировании отдельных видов деятельности».
Указы Президента Российской Федерации, постановления Правительства Российской Федерации
Указ Президента Российской Федерации от 06.03.1997. № 188 «Об утверждении Перечня сведений конфиденциального характера».
Указ Президента Российской Федерации от 30.05.2005. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
5
Указ Президента Российской Федерации от 17.03.2008. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информацион- но-телекоммуникационныхсетеймеждународногоинформационногообмена».
Постановление Правительства Российской Федерации от 31.08.2006. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».
Постановление Правительства Российской Федерации от 06.07.2008. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства Российской Федерации от 03.02.2012. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». Постановление Правительства Российской Федерации от 21.03.2012. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Постановление Правительства Российской Федерации от 16.04.2012. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нуждюридическоголицаилииндивидуальногопредпринимателя)».
Постановление Правительства Российской Федерации от 01.11.2012. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».
Нормативные, руководящие, методические документы регуляторов
Федеральная служба по тех- |
Федеральная служба |
Федеральная служба по |
ническому и экспортному |
безопасности Россий- |
надзору в сфере связи и |
контролю Российской Феде- |
ской Федерации |
массовых коммуникаций |
рации (Государственная тех- |
(ФАПСИ при Президен- |
Российской Федерации |
ническаякомиссияприПрези- |
те Российской Федера- |
|
дентеРоссийскойФедерации) |
ции) |
|
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008. № 55/86/20 |
||
«Об утверждении Порядка проведения классификации информационных систем пер- |
||
сональных данных» |
|
|
ПриказФСБРоссии,ФСТЭКРоссииот31.08.2010.№416/489 |
|
|
«Об утверждении Требований о защите информации, со- |
|
|
держащейся в информационных системах общего поль- |
|
|
зования». |
|
|
Положение по аттестации объ- |
Приказ ФАПСИ при |
Приказ Роскомнадзора от |
ектов информатизации по тре- |
Президенте Российской |
19.08.2011. № 706 «Об |
бованиям безопасности инфор- |
Федерации от 13.06.2001. |
утверждении Рекоменда- |
мации. Утверждено Гостехко- |
№ 152 «Об утверждении |
ций по заполнению образца |
6
миссией при Президенте Российской Федерации 5.11.1994. Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». Утвержден приказом Гостехкомиссии Россииот30.08.2002.№282.
Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом Гостехкомиссии России от27.10.1995.№ 199.
Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25.11.1994.
Типовое положение об испытательной лаборатории, утвержденное председателем ГостехкомиссииРоссии25.11.1994.
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России,1992.
Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. ГостехкомиссияРоссии,1992.
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного досту-
Инструкции об организа- |
формы уведомления об об- |
||||||
ции и обеспечении без- |
работке (о намерении осу- |
||||||
опасности хранения, об- |
ществлять обработку) пер- |
||||||
работки |
и передачи |
по |
сональныхданных». |
|
|||
каналам связи с исполь- |
Приказ Минкомсвязи |
Рос- |
|||||
зованием средств крипто- |
сии от 21.12.2011. № 346 |
||||||
графической защиты ин- |
«Об утверждении Админи- |
||||||
формации с |
ограничен- |
стративного |
регламента |
||||
ным доступом, не содер- |
Федеральной |
службы |
по |
||||
жащей сведений, состав- |
надзору в сфере связи, ин- |
||||||
ляющих |
государствен- |
формационных технологий |
|||||
нуютайну». |
|
|
и массовых коммуникаций |
||||
Приказ |
ФСБ |
России |
от |
по |
предоставлению госу- |
||
09.02.2005. № 66 «Об |
дарственной услуги «Веде- |
||||||
утверждении |
Положения |
ние |
реестра |
операторов, |
|||
о разработке, производ- |
осуществляющих обработ- |
||||||
стве, реализации и экс- |
ку персональныхданных». |
||||||
плуатации шифровальных |
|
|
|
|
|||
(крипто-графических) |
|
|
|
|
|
||
средств защиты информа- |
|
|
|
|
|||
ции (Положение ПКЗ- |
|
|
|
|
|||
2005)». |
|
|
|
|
|
|
|
Типовые требования по |
|
|
|
|
|||
организации |
и обеспе- |
|
|
|
|
||
чению |
функционирова- |
|
|
|
|
||
ния шифровальных (крип- |
|
|
|
|
|||
тографических) средств, |
|
|
|
|
|||
предназначенных |
для |
|
|
|
|
||
защиты информации, не |
|
|
|
|
|||
содержащей |
сведений, |
|
|
|
|
||
составляющих государственную тайну, вслучае их использования для обеспечения безопасности персональныхданныхпри их обработке в информационных системах персональных данных. Утверждены ФСБ России 21.02.2008.№149/6/6-622. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматиза-
7
па к информации. Гостехкоции. Утверждены ФСБ миссияРоссии,1992. России 21.02.2008. Руководящий документ. Авто- № 149/54-144.
матизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. ГостехкомиссияРоссии,1992.
Руководящий документ. Защита от несанкционированного доступа к информации. Термины
иопределения. Гостехкомиссия России,1992.
Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997.
Руководящий документ. Защита информации. Специальные защитные знаки. Классификация
иобщие требования. ГостехкомиссияРоссии,1997. Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 04.06.1999№114.
Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации, ГостехкомиссияРоссии,2002.
Временная методика оценки защищенности конфиденциальной информации, обрабатывае-
8
мой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации, Гостехкомиссия России, 2002.
Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, Гостехкомиссия России,2002.
Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах, ГостехкомиссияРоссии,2002.
Требования к системам обнаружения вторжений. Утверждены приказом ФСТЭК России от 06.12.2011.№638.
Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконнооптических системах передачи. Утвержден приказом ФСТЭК Россииот15.03.2012.№ 27дсп. Приказ ФСТЭК России от 05.02.2010. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональныхданных».
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14.02.2008.
Базовая модель угроз безопасности персональных дан-
9
ных при их обработке в информационных системах персональных данных. Утверждена ФСТЭКРоссии15.02.2008.
Информационное сообщение ФСТЭК России от 30.05.2012. № 240/22/2222 «По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации».
Государственные стандарты
ГОСТ ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ ИСО/МЭК 15408-2-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
ГОСТ ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
Приказы МВД России, методические рекомендации МВД России
Приказ МВД России от 04.04.2009. № 280 «Об утверждении Концепции информатизации органов внутренних дел Российской Федерации и внутренних войск МВД России до 2012 года».
Приказ МВД России от 16.01.2012. № 25 «Об утверждении комплексных мер по обеспечению безопасности и защиты данных информационных систем МВД России». Приказ МВД России от 14.03.2012. № 169 «Об утверждении Концепции обеспечения информационной безопасности органов внутренних дел Российской Федерации до 2020 года».
Приказ МВД России от 06.07.2012. № 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации».
Методические рекомендации по порядку регистрации информационных систем МВД России в Реестре информационных систем МВД России от 29.06.2012. № 9/3441.
10